Looker(Google Cloud コア)は、Identity and Access Management(IAM)を使用して、一連の IAM ロールを通じてユーザーと管理者のアクセス権をプロビジョニングします。Google Cloud IAM の詳細については、IAM のドキュメントをご覧ください。
Identity and Access Management(IAM)とは
IAM を使用すると、Google Cloud プロジェクトのリソースにアクセスできるユーザーを制御できます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
IAM でのプリンシパルとは「誰」であるかを指します。プリンシパルは、個々のユーザー、グループ、または Workspace ドメインのいずれかです。プリンシパルにはロールが付与されます。このロールにより、Looker(Google Cloud コア)と Google Cloud でより全般的な操作を行える権限が付与されます。各ロールは、1 つ以上の権限をまとめたものです。権限は IAM の基本単位です。各権限により、プリンシパルが特定のアクションを実行できます。
たとえば、looker.instances.login
権限を持つプリンシパルは Looker(Google Cloud コア)インスタンスにログインできます。この権限は、Looker 管理者ロール(roles/looker.admin
)や Looker インスタンス ユーザーロール(roles/looker.instanceUser
)など、いくつかの事前定義ロールに含まれています。
必要なロール
Looker(Google Cloud コア)IAM ロールの割り当てに必要な権限を取得するには、インスタンスが作成されたプロジェクトに対する プロジェクト IAM 管理者 (roles/resourcemanager.projectIamAdmin
)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
IAM ロールと Looker ロール
Looker(Google Cloud コア)の権限は、IAM ロールと Looker ロールの 2 種類のロールで付与されます。
Looker(Google Cloud コア)の IAM ロール: この種類のロールは、次の機能を管理します。
- Looker(Google Cloud コア)に関する Google Cloud コンソール内のユーザー機能
OAuth と組み合わせて使用すると、次の機能も管理されます。
- ユーザーが Looker(Google Cloud コア)インスタンスにログインできる権限
- Looker(Google Cloud コア)インスタンスにログインしたユーザーに付与されるデフォルトの Looker ロール
IAM ロールを付与する方法については、IAM のドキュメントをご覧ください。
Looker の役割: この種類のロールは、Looker(Google Cloud コア)インスタンスにログインした後ユーザーが行える操作を管理します。Looker ロールを付与する方法については、ロールとグループのドキュメント ページをご覧ください。
Looker ロールが Looker(Google Cloud コア)インスタンス内に割り当てられると、IAM によって付与されるデフォルトの Looker ロールがオーバーライドされます。
Looker(Google Cloud コア)の IAM ロール
Looker(Google Cloud コア)のユーザーは、次の 3 つの事前定義ロールが使用できます。これらのロールは Google Cloud プロジェクト レベルで付与され、Google Cloud プロジェクト内のすべての Looker(Google Cloud コア)インスタンスに対してアクセスを均一に制御します。
ロール名 | 権限 |
---|---|
Looker 閲覧者
すべての Looker(Google Cloud コア)リソースへの読み取り専用アクセス権。 |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Looker インスタンス ユーザー
Looker(Google Cloud コア)インスタンスにログインするためのアクセス権。 |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Looker 管理者
すべての Looker(Google Cloud コア)リソースに対する完全アクセス権。 |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
少なくとも 1 人のプリンシパルに Looker 管理者(roles/looker.admin
)IAM ロールが必要です。
必要な権限が事前定義された役割で提供されていない場合は、カスタムのロールを独自に作成することもできます。
次のステップ
- Looker(Google Cloud コア)ユーザー認証に Google OAuth を使用する
- Looker(Google Cloud コア)内のユーザーを管理する
- Looker(Google Cloud コア)インスタンスを構成する
- Looker(Google Cloud コア)管理設定
- Google Cloud コンソールから Looker(Google Cloud コア)インスタンスを管理する